[GTER] Firewall no ASN

Marcelo Gondim gondim at bsdinfo.com.br
Thu Sep 20 14:31:42 -03 2018


Nós usamos os produtos da Anlix [1]. Quanto ao CPE vai depender se já 
tem suporte na lista deles. O sistema deles é baseado no OpenWRT.
Aqui usamos a ONU em bridge mesmo e o router com a firmware deles 
chamada Flaxhbox.
São 3 produtos: o Flashbox (firmware no router), Flashman (sistema de 
gerência) que no nosso caso fica em uma VM nossa aqui e o FlashApp que é 
o app pra instalar no celular do assinante para ele configurar o router 
de forma fácil e logicamente limitada para que não gere problemas. O 
sistema Flashman deles possui uma API também.

[1] https://anlix.io/

Em 20/09/2018 09:01, Douglas Fischer escreveu:
> Essa parte do provisionamento muito me interessa!
> Tá usando que tipo de CPE?
> Usa a ONU em Bridge+Router ou a própria ONU faz roteamento?
>
> Provisionamento da ONU já é algo mais comum, mas o provisionamento do
> router em separado é algo um pouco mais complicado...
> Estou procurando um desenvolvedor de sistemas de gestão para provedores que
> aceite a empreita de embutir em seu sistema as features de:
> - Geração automática de Build customizada do OpenWRT para o provedor, com
> direito a Logo customizada e a Embutir o endereço do server de
> provisionamento.
> - Servidor de provisionamento por TR69 e outros protocolos com base nas
> informações cadastradas no sistema de gestão.
>
>
>
> Em qui, 20 de set de 2018 às 07:16, Marcelo Gondim <gondim at bsdinfo.com.br>
> escreveu:
>
>> Oi Douglas,
>>
>> Então aqui em uma das cidades que atendemos, a principal tenho 6 CCRs
>> sendo 5 com 2000 assinantes conectados e planos que variam entre 10Mbps
>> e 50Mbps. Nessa cidade o tráfego total no pico é de quase 9Gbps. Tráfego
>> em cada CCR dessa perto dos 2Gbps. Uma outra CCR aqui só para clientes
>> corporativos. Aqui trabalhamos para que o IPv6 seja o mais adotado
>> possível pois nossos técnicos na instalação do assinante habilitam o
>> dual stack. O novo sistema que estamos usando inclusive o router que
>> levamos para o assinante já se auto provisiona e configura IPv4 e IPv6
>> sem intervenção do técnico. Para nós ficou muito melhor montar um
>> servidor Linux com 2 interfaces Intel X520-SR2 com 4 portas de 10GbE e
>> direcionar apenas os clientes de CGNAT (100.64.0.0/10) para ele. Nosso
>> objetivo aqui é um dia nem precisar mais do CGNAT e por isso contamos
>> com a intensificação do uso do IPv6. Tudo é uma questão de planejamento.
>> Como nós aqui fazemos FTTH, o router colocado no assinante é de nossa
>> responsabilidade e com o recurso de auto provisionamento, acreditamos
>> que cada vez mais o CGNAT será menos utilizado e não o contrário.  :)
>> Veja eu tenho 1 servidor de CGNAT atendendo 5 CCRs e não 1 pra cada CCR.
>>
>> Uma outra cidade que atendemos aqui o tráfego é menor, 6Gbps e só de
>> CGNAT o consumo é de uns 300Mbps. Nessa cidade são 5 CCRs e o restante
>> dos acessos são IPv4 público e IPv6 e também fazemos a mesma coisa, um
>> Linux fazendo o papel de CGNAT sendo que com 1 Intel X520-SR2.
>>
>> Mas é como você colocou, cada um faz a abordagem que melhor se enquadra
>> ao seu cenário sem aquilo de certo ou errado, apenas a maneira que acha
>> melhor.
>>
>> Em 19/09/2018 16:29, Douglas Fischer escreveu:
>>> Opa Marcelo!
>>> Eu pessoalmente não gosto dessa metodologia de separar o CG-NAT do B-RAS.
>>>
>>> Prefiro tratar todas essas questões de filtragem e CG-NAT no próprio
>> B-RAS.
>>> Perder um pouco em performance, ganha em resiliência e escalabilidade.
>>>
>>>
>>> Falando de CCR, jogando CG-NAT no B-RAS(PPPoE server) você acaba
>> "perdendo"
>>> um pouco de capacidade nominal em número de clientes em banda.
>>> Se conseguia colocar 1500-1600 clientes, vai passar a colocar uns
>>> 1100-1200(talvez nem isso dependendo do perfil de cliente).
>>>
>>> Mas se estiver considerando um cenário com 2 B-RAS com 1500 clientes,
>>> e precisaria de uma 3ª e 4ª caixas só para fazer CG-NAT e sua respectiva
>>> redundância...
>>> Pegue essas 4 caixas e coloque as 4 para fazer B-RAS+CG-NAT+Filtragens
>>> simples.
>>> Isso dá 750 clientes por caixa, ou 1000 clientes em caso de falha de uma
>>> das caixas...
>>>
>>> Pro CG-NAT, já vai ter que está com o Contrack ligado mesmo!
>>> Então fazer algumas filtragens(Ex.: TCP/25, SSDP, etc) ali, não vai te
>>> tomar tantos ciclos de processamento a mais do que já está usando...
>>> (FastTrack pode ajudar bem a by-passar algumas coisas. RAW também.)
>>>
>>>
>>>
>>>
>>> Em ter, 18 de set de 2018 às 22:34, Marcelo Gondim <
>> gondim at bsdinfo.com.br>
>>> escreveu:
>>>
>>>> Essa abordagem que o Rubens colocou é a melhor mesmo. Aqui usamos assim:
>>>>
>>>>
>>>> BRAS ----- CGNAT ----- Router/Firewall --- Borda
>>>>     |                                      |
>>>>     +------------------------------+
>>>>                 IPv6
>>>>
>>>> Em 18/09/2018 22:16, Rubens Kuhl escreveu:
>>>>> O recomendável é um terceiro equipamento entre esses dois, em
>>>> configuração
>>>>> não redundante.
>>>>>
>>>>> BRAS - Firewall - Borda
>>>>> +------------------------+
>>>>>
>>>>> Essa conexão direta entre BRAS e Borda é a que já existe hoje, e seria
>>>>> contingência caso o firewall pife.
>>>>> Dá para fazer isso em L2 ou L3 à sua escolha... se for L2 com
>>>> spanning-tree
>>>>> de redundância, se for L3 com OSPF de redundância. Se for L2 com
>> firewall
>>>>> bridge, se for L3 com firewall roteado.
>>>>>
>>>>> Um servidor x86, rodando RouterOS, Linux ou FreeBSD seria um bom
>>>> candidato.
>>>>> Rubens
>>>>>
>>>>>
>>>>>
>>>>> On Tue, Sep 18, 2018 at 9:04 PM Tárcio Dutra <tarcio_dutra at hotmail.com
>>>>> wrote:
>>>>>
>>>>>> Boa tarde, Turma.
>>>>>>
>>>>>>
>>>>>> Recentemente recebemos alguns avisos de "Os IPs abaixo são origem de
>>>>>> ataques DDoS", tais IPs são de alguns clientes, somos um ISP.
>>>>>>
>>>>>> Ele pedem para bloquearmos, a exemplo, o trafego que sai através de
>> uma
>>>>>> porta X.
>>>>>>
>>>>>>
>>>>>> Bem, devemos sempre colaborar...
>>>>>>
>>>>>>
>>>>>> Tenho equipamentos Cisco e Mikrotik. O que vocês recomendam?
>>>>>>
>>>>>>
>>>>>> Configurar um Firewall Foward no Router BGP, nos Concentradores PPPoE?
>>>> Se
>>>>>> eu subir um FIREWALL eu vou ter um aumento considerável no
>> processamento
>>>>>> dos meus equipamentos.  😖  :(
>>>>>>
>>>>>>
>>>>>> Realmente gostaria de ler a experiência de vocês. Agradeço a quem me
>>>>>> ajudar.
>>>>>>
>>>>>>
>>>>>> Att,
>>>>>>
>>>>>> Tárcio




More information about the gter mailing list